Finanstilsynet er i gang – og billedet er tydeligt
DORA har været gældende siden januar 2025, og Finanstilsynet er for alvor begyndt at føre tilsyn. De første offentlige IT-inspektioner viser, at mange institutter har væsentlige mangler på centrale DORA-områder – mangler der medfører forhøjet IT-risiko og konkrete påbud.
I denne samtale inviterer vi ansvarlige fra to danske banker ind i studiet til en åben, ærlig og konkret samtale om den praktiske implementering af DORA: hvad der virker, hvad der overraskede, og hvad der stadig ikke er løst.
Disse risici og mangler går igen – er I forberedte?
På tværs af offentliggjorte IT-inspektioner tegner der sig et mønster:
- Uklar IT-risikostyringsramme
Strategien for digital operationel modstandsdygtighed er ikke tilstrækkelig, og rammen er ikke klart defineret eller veldokumenteret. Bestyrelsen har dermed ikke det nødvendige grundlag for at føre tilsyn. - Svag hændelsesstyring
Klassificering af IT-hændelser er ikke systematisk, og processen sikrer ikke, at væsentlige hændelser identificeres og rapporteres korrekt og rettidigt. - Utilstrækkelig tredjepartsstyring
Manglende overblik over og adgang til genopretningsplaner (DRP) for kritiske IT-leverandører. Kontraktklassifikation, due diligence og løbende overvågning lever ikke op til kravene. - Mangelfuldt IT-beredskab
Beredskabsplaner mangler tydelige tidshorisonter og genopretningsniveauer (RTO/RPO). BIA-processen er ikke tilstrækkeligt kvalitetssikret, og planerne er ikke operationelle nok til at stå alene - Uklar ansvarsfordeling
Ansvarsfordelingen mellem første og anden forsvarslinje i relation til IT-risikostyringen er ikke veldefineret – et klassisk smertepunkt, der går igen på tværs af institutter. - Utilstrækkeligt testprogram
Testprogrammet dækker ikke alle relevante systemer og kritiske leverandører. Krav til testtyper, frekvens og opfølgning er ikke veldefinerede, og sårbarhedsvurderinger er ikke dokumenterede.
Hvad taler vi om?
Samtalen er bygget op om fire dele, der følger rejsen fra implementering til fremtid.
Del 1: Det første år – hvad troede vi, og hvad viste sig?
Panelet deler, hvilke huller der var sværest at lukke, hvad der overraskede dem undervejs, og hvad der lykkedes bedre end forventet. Fra IT-risikostyringsramme og Register of Information til den daglige kamp om ansvarsdeling.
Del 2: Hvad kigger Finanstilsynet faktisk efter?
Med afsæt i offentliggjorte IT-inspektioner gennemgår panelet mønstre og deler egne erfaringer med forberedelse til og opfølgning på tilsynsdialog.
Del 3: De næste 12–24 måneder – hvad holder jer vågne?
TLPT, kritiske IKT-tredjepartsudbydere under direkte DORA-tilsyn, AI og nye teknologier ind i rammen samt de fortolkningsgab på EU-niveau, der stadig er uafklarede. Panelet peger på de udfordringer, der skalerer i sværhedsgrad.
Del 4: Råd til dem, der ikke har haft tilsynsbesøg endnu
Hvad ville panelet gøre anderledes? Hvad er den dyreste fejl? Og hvad adskiller – set fra Implements side – de institutter, der er godt forberedt, fra dem, der modtager påbud?
Hvad får du ud af at deltage?
Få konkrete indsigter, du kan omsætte til handling – uanset hvor langt din organisation er på DORA-rejsen.
Samtalen giver dig indblik i Finanstilsynets faktiske fokus ved IT-inspektioner, benchmarks fra danske banker, kommende DORA-temaer som TLPT, tredjepartsrisici og AI samt klare anbefalinger til, hvor du bør prioritere indsatsen først.
